题目：

1、您的同事李白在运维一台部署了移动应用服务端的linux服务器时发现了异常，好像被黑客攻击了。小李通过简单分析，发现可能是由于公司的移动应用和其服务端程序都存在安全问题导致的。小李将当天可能与攻击相关的流量导出，并与移动应用一起打包压缩，你可以下载分析，也可以登录此服务器进行攻击溯源、排查等，提供了SSH和VNC访问的方式供您和您的团队进行分析取证。

关卡01：黑客攻击此服务器所使用的2个IP分别是什么（ascii码从小到大排列，空格分隔）

统计下ip，然后从后往前分析

‍

可以看到202.1.1.1有一句话

‍

202.1.1.129追踪这个4444端口的流量，可以看到代码执行

所以黑客ip：202.1.1.1 202.1.1.129

关卡02：存在安全问题的apk中使用的登录密码是什么?

过滤202.1.1.1的post请求，因为登陆大多是login之类的字眼，我们定位url中的login，找到答案 password663399

关卡03：黑客尝试上传一个文件但显示无上传权限的文件名是什么？

看到这个流量上传了一张图片，然后追踪http流，看到错误代码100，故答案 pic.jpg

关卡04：黑客利用的漏洞接口的api地址是什么?（http://xxxx/xx)

答案：[http://202.1.1.66:8080/api/upload](http://202.1.1.66:8080/api/upload)

关卡05：黑客上传的webshell绝对路径是什么？

可以找到冰蝎3的流量，中间件是tomcat，我们可以猜测绝对路径(比赛时ssh进去可以找目录)，答案 /usr/local/tomcat/webapps/ROOT/static/s74e7vwmzs21d5x6.jsp

关卡06：黑客上传的webshell的密码是什么？

答案 bing_pass

关卡07：黑客通过webshell执行的第一条命令是什么？

导出http，筛选一下

导出这些，然后挨个解密看

冰蝎3 jsp的webshell，解密key是第二次请求webshell的返回值，用蓝队工具可解密

然后把class字节码文件反编译，可以找到答案 pwd

关卡08：黑客获取webshell时查询当前shell的权限是什么？

ps -ef

答案 tomcat

关卡09：利用webshell查询服务器Linux系统发行版本是什么？

cat /etc/redhat-release 是一个在基于 Red Hat 的 Linux 发行版（如 Red Hat Enterprise Linux、CentOS、Fedora 等）上常用的命令。这个命令用于显示当前系统的发行版信息。

然后ssh进去，执行下命令就可以看到 答案 CentOS Linux release 7.4.1708 (Core)

关卡10：黑客从服务器上下载的秘密文件的绝对路径是什么？

秘密文件，结合前面的webshell上传路径 ，答案 /usr/local/tomcat/webapps/ROOT/static/secert.file

关卡11：黑客通过反连执行的第一条命令是什么？

反连的IP是202.1.1.129，过滤一下 答案 cat /etc/passwd

关卡12：黑客通过什么文件修改的root密码（绝对路径）

写入/etc/passwd 答案 /etc/passwd

关卡13：黑客设置的root密码是多少？

答案：123456

然后用kali进行john爆破

关卡14：黑客留下后门的反连的ip和port是什么？（ip:port)

过滤ip202.1.1.129，就两个端口4444和9999，都试一下就行 答案 202.1.1.129:9999

关卡15：黑客通过后门反连执行的第一条命令是什么？

过滤202.1.1.129的ip，一个个追踪流，答案 rpm -qa | grep pam

关卡16：黑客通过什么文件留下了后门？

结合上题命令，可以看到有so文件 答案 pam_unix.so

关卡17：黑客设置的后门密码是什么？

用ida pro反编译so文件，能找到密码 答案 ssh_back_pwd

关卡18：黑客的后门将root密码记录在哪个文件中？（绝对路径）

同上 答案 /tmp/.sshlog

‍